- 美国证券交易委员会(SEC)推出新规定,要求上市公司在确定网络攻击为重大事件后的四个工作日内披露网络攻击情况。
- 股东在做出投资决策时认为重大的事件被视为重大。
- 网络攻击后,外国私人发行人也需要提供同等的披露信息。
- 披露的信息必须包含有关网络攻击的信息,包括其性质、范围和时间顺序,并且必须包含在定期报告文件中(特别是 8-K 表格)。
- 新规定将于 12 月生效,但规模较小的公司在需要披露 8-K 表格之前还有 180 天的时间。 如果立即披露对国家安全或公共安全构成重大风险,在某些情况下可以延长披露期限。
美国证券交易委员会通过了新法规,要求上市公司在确定网络攻击为重大事件后的四个工作日内披露这些攻击。
根据华尔街监管机构的说法,重大事件是指上市公司股东认为重要的事件“在做出投资决定时”。
此外,美国证券交易委员会还通过了新的规定,要求外国私人发行人在网络攻击后提供同等的披露信息。
SEC 澄清网络漏洞披露所需的关键信息
“无论一家公司在火灾中丢失设施,还是在网络攻击中丢失数百万个文件,都可能对投资者产生重大影响。 SEC 主席加里·詹斯勒 表示大多数上市公司都会向投资者提供网络安全披露。
“我相信,公司和投资者都将从更加一致、可比且对决策有用的信息披露中受益。 通过确保公司披露重要的网络安全信息,今天的规则将使投资者、公司和相互关联的市场受益。”
现在,上市公司必须在定期报告文件中(特别是 8-K 表格)包含有关网络攻击的详细信息(包括事件的性质、范围和时间表)。
报告网络安全事件的新规则计划于 12 月(即《联邦公报》发布后 30 天)生效。
然而,规模较小的公司将在需要披露 8-K 表格之前获得额外 180 天的时间。 如果美国司法部长确定立即披露会对国家安全或公共安全构成重大风险,则在某些情况下可能会延长披露期限。
及时披露,提高透明度
一年多前的 2021 年 3 月,SEC 于 2022 年 3 月披露了采用这些新规则的意图。 (PDF) 为投资者及时通报影响上市公司的安全事件,从而增强投资者对网络安全风险管理和策略的理解。
他们要求披露以下与违规相关的信息(如果在提交 8-K 表时可用):
- 事件发现的日期及其当前状态(正在进行或已解决)。
- 对事件性质和范围的简要描述。
- 未经许可被泄露、更改、访问或使用的任何信息。
- 该事件对公司运营的影响。
- 有关公司正在进行或已完成的补救措施的信息。
然而,受影响的公司不应披露其事件响应计划的技术细节或可能影响其响应和补救措施的潜在漏洞的信息。 穆迪投资者服务公司高级副总裁莱斯利·里特表示,新规则将提高透明度,但对小公司来说可能会很困难。
“美国证券交易委员会今天早些时候通过的网络安全披露规则将为本来不透明但不断增长的风险提供更大的透明度,以及更大的一致性和可预测性,”里特告诉 BleepingComputer。
“增加披露应该有助于公司比较实践,并可能刺激网络防御的改进,但资源较少的小公司可能会发现更难以满足新的披露标准。”
特色图片来源: 不飞溅。
Source: SEC 要求上市公司及时披露网络攻击信息
